GNU/Linux >> Tutoriales Linux > >> Cent OS

RHEL 7 – Notas de RHCSA – Establecer modos de cumplimiento y permisivos para SELinux

RHEL 7 – Notas de RHCSA (hojas de referencia)

Modos SELinux

SELinux brinda esa capa adicional de seguridad a los recursos del sistema. Proporciona el MAC (control de acceso obligatorio) a diferencia del DAC (control de acceso discrecional). Antes de sumergirnos en la configuración de los modos de SELinux, veamos cuáles son los diferentes modos de operación de SELinux y cómo funcionan. SELinux puede operar en cualquiera de los 3 modos:

1. Forzado :Las acciones contrarias a la política se bloquean y el evento correspondiente se registra en el registro de auditoría.
2. Permisivo :Las acciones contrarias a la política solo se registran en el registro de auditoría.
3. Deshabilitado :SELinux está deshabilitado por completo.

Archivo de configuración

Archivo de configuración de SELinux /etc/selinux/config :

# cat  /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Alternar modos SELinux (temporalmente)

Para cambiar entre los modos de SELinux temporalmente, podemos usar el comando setenforce como se muestra a continuación:

# setenforce [ Enforcing | Permissive | 1 | 0 ]

0 –> Permisivo
1 –> Cumplimiento

Verifique el modo actual de SELinux:

# getenforce
Enforcing

o también podemos usar el comando sestatus para obtener un estado detallado:

# sestatus
SELinux status:                 enabled         
SELinuxfs mount:                /selinux        --> virtual FS similar to /proc
Current mode:                   enforcing       --> current mode of operation 
Mode from config file:          permissive      --> mode set in the /etc/sysconfig/selinux file.
Policy version:                 24
Policy from config file:        targeted

Alternar modos SELinux (permanentemente) [reinicio requerido]

El modo SELinux se puede configurar de forma permanente utilizando cualquiera de los siguientes métodos:
1. editando el archivo /etc/selinux/config
2. edición de las opciones de arranque del kernel

1. editando el archivo /etc/selinux/config

para configurar SELinux como permisivo, configure la siguiente línea en el archivo /etc/selinux/config para:

vi /etc/selinux/config
....
SELINUX=permissive
...

De manera similar, el modo se puede configurar para aplicar/deshabilitar configurando el modo en la misma línea.

2. editando las opciones de arranque del kernel

Edite la línea de inicio del kernel y agregue enforcing=0 a las opciones de arranque del núcleo. Por ejemplo:

title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp)
root (hd0,0)
kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0
initrd /initrd-2.6.9-42.ELsmp.img

Reinicie el servidor.

# shutdown -r now

Forzar reinicio al cambiar de modo

Podemos forzar un reinicio al cambiar el modo selinux:

# setsebool secure_mode_policyload on

CentOS / RHEL 7:Cómo crear y eliminar los espejos LVM usando lvconvert

RHEL 7 - Notas de RHCSA - Crear y administrar listas de control de acceso (ACL)

Cent OS

Configure el servidor Samba en CentOS 8/RHEL 8 para compartir archivos

Cómo instalar y configurar "setroubleshootd" en CentOS/RHEL

Cómo configurar la afinidad de la CPU para el proceso SYSTEMD en CentOS/RHEL 7

Cómo establecer límites de recursos para un proceso con Systemd en CentOS/RHEL 7 y 8

Cómo deshabilitar o establecer SELinux en modo permisivo

Busque JAVA_HOME y configúrelo en RHEL